Voor bescherming gezondheidsgegevens gelden zeer hoge eisen
Heeft u een of meer bekende Nederlanders als klant? Let er dan extra goed op dat u zich houdt aan de AVG.
De Autoriteit Persoonsgegevens (AP) heeft het Haga Ziekenhuis een boete van 460.000 euro opgelegd wegens overtreding van artikel 32 van de Verordening.
De Autoriteit: “De overtreding duurde op structurele wijze voor een lange periode voort, gedurende welke periode een grote groep onbevoegden toegang kon krijgen tot gezondheidsgegevens van patiënten. Des te meer in het licht van het datalek van de bekende Nederlander, waarbij het Haga Ziekenhuis begin 2018 heeft geconstateerd dat een groot aantal medewerkers onbevoegde inzage hebben gehad in een patiëntendossier, had het op de weg van het HagaZiekenhuis gelegen om de normen - die mede zien op het voorkomen van dergelijke onbevoegde inzage - te implementeren en de overtreding van artikel 32 van de AVG spoedig te beëindigen.”
Nuttige informatie
Volgens het Verbond van Verzekeraars bevat het gepubliceerde onderzoeksrapport en het boetebesluit nuttige informatie voor verzekeraars over hoe de AP oordeelt over gegevensbescherming. Inderdaad wordt op z’n minst duidelijk dat de AP zeer streng is als het gaat om gezondheidsgegevens. Het boetebesluit leest letterlijk: “Gezondheidsgegevens behoren vanwege de gevoeligheid tot een bijzondere categorie van persoonsgegevens. Om deze reden gelden voor de bescherming van die gegevens zeer hoge eisen.”
In het voorliggende geval hanteert de AP algemeen geaccepteerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging in de zorg, NEN-7510 en NEN 7513. Uit deze beveiligingsstandaarden vloeit voort dat ten aanzien van authenticatie bij de toegang tot ziekenhuisinformatiesystemen die specifiek zijn gericht op het verwerken van gevoelige informatie, de verantwoordelijke tenminste gebruik dient te maken van tweefactor authenticatie, teneinde de identiteit van gebruikers vast testellen. Verder dienen logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, te worden gemaakt, bewaard en regelmatig te worden beoordeeld. Het voorgaande volgt uit NEN 7510-2, waarin beveiligingsnormen zijn opgenomen die zien op een nadere invulling van artikel 32 van de AVG wat betreft de informatiebeveiliging in de zorg.
Reactie toevoegen
Meer over
Verantwoordelijkheid voor gevolmachtigde
Door Ron Gardenier (voorzitter NVGA) Vanaf 25 mei gelden er nieuwe regels voor het verwerken van persoonsgegevens. In de kern zijn de regels uit de Algemene...
Register AVG biedt handig overzicht
Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. Adfiz geeft in een artikel in VVP 3 uitleg over het register...
In Nederland dekking voor AVG-boete niet vanzelfsprekend
In Nederland is dekking voor een AVG-boete niet vanzelfsprekend. Dat blijkt uit onderzoek van risico- en verzekeringsadviseur Aon en advocatenkantoor DLA Piper...
AVG-PraktijkPakket CFD beschikbaar
Binnen uren na het uitbrengen van het persbericht dat CFD haar AVG-PraktijkPakket beschikbaar heeft, werden al ruim 150 meldingen geregistreerd. Aldus CFD-voorzitter...
DFO: "Neem als adviseur cyberrisicopolis met oog op AVG"
Bureau DFO signaleert dat veel financieel advieskantoren op dit moment voor hun eigen bedrijfsvoering nog geen cyberrisicoverzekering hebben afgesloten. "Gelet op...
"Zie wat een ondernemerschap en verandervermogen adviseurs tonen!"
"De enkeling die nog niet begonnen is met het AVG-proof maken van zijn bedrijf wil ik zeggen: begin er vandaag nog aan." Aldus Enno Wiertsema in zijn column op www.adfiz.nl....
CFD komt met AVG-PraktijkPakket
CFD heeft speciaal voor het kleine en middelgrote intermediair het 'AVG-PraktijkPakket' ontwikkeld. Het pakket bestaat uit drie modules, die ieder individueel kunnen...
Helft mkb klaar voor privacywetgeving
Meer dan de helft van de ondernemers heeft het interne privacybeleid op orde en heeft dit beleid gedeeld met de medewerkers. Iets minder dan de helft van het mkb...
Adfiz stelt Privacy Portaal open voor hele markt
Adfiz stelt het online kennisdossier Privacy open voor de hele markt. Adfiz heeft de AVG die op 25 mei in werking treedt samen met een klankbordgroep van specialisten...
Adfiz en Verbond: verwerkersovereenkomsten niet nodig
Verzekeraars en intermediair moeten van alles doen om zich voor te bereiden op de Algemene Verordening Gegevensbescherming (Avg), maar ze hoeven onderling geen verwerkingsovereenkomsten...